高木浩光＠自宅の日記

2025年11月20日

■ The Answer Hidden in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance

Background

In early November 2025, a leaked draft of the European Commission's "Digital Omnibus," including amendments to the GDPR, sparked significant controversy. Key points of contention included the proposal to limit Article 9's protection of special category data to cases where such data "directly reveals" sensitive information, and the clarification of legitimate interests as a legal basis for AI training and operation. On November 11, Austrian privacy advocacy group noyb.eu, together with EDRi and ICCL, published an open letter to the European Commission criticizing the proposal as a "massive rollback of fundamental rights." This analysis was written in response to the leaked draft and noyb.eu's critique.

The core argument presented here is that both the Commission's proposal and noyb.eu's critique share a fundamental flaw. While they oppose each other over Article 9, both have lost sight of the "principle of relevance," which has been at the heart of data protection law since 1980. This will be elaborated below.

Note that after this analysis was written, the official proposal was published on November 19, with important changes from the leaked version. These developments are addressed in the addendum at the end.

1. The Structure of Conflict and Its Flaw

The European Commission's draft GDPR amendments, scheduled for proposal in November 2025, and noyb.eu's critique of it share a common fundamental flaw. Both parties have lost sight of the "principle of relevance," which has been the core of data protection law since the 1980 OECD Guidelines and CETS 108.

The draft amendment seeks to limit the protection of special category data under Article 9 to cases where such data "directly reveals" sensitive information, while clarifying legitimate interests as a legal basis for AI training and operation. Meanwhile, noyb.eu criticizes this as a "massive rollback of fundamental rights," calling for the maintenance of broad Article 9 protections and the expansion of data subjects' rights. However, this very axis of conflict misunderstands the essence of data protection law.

2. The Principle of Relevance: The Core of Data Protection Law

GDPR Article 5(1)(c) already requires that personal data be "adequate, relevant and limited to what is necessary." This concept of "relevant" is the core requirement of data protection law, inherited from the computer scientists at the US RAND Corporation in 1965, through the 1973 HEW Report, to the OECD's second principle in 1980. The principle of relevance prohibits the use of data items that are irrelevant to the purpose of a decision concerning an individual. This is a requirement for eliminating discrimination and ensuring fairness, and it is a universal principle applicable to all data items, not limited to specific categories such as race or health status.

The term "relevant" is often misunderstood. It does not simply mean "useful" or "statistically correlated." The UK Information Commissioner's Office (ICO) uses the phrase "has a rational link to the purpose" to clarify this concept. Music preferences may statistically correlate with creditworthiness in credit decisions, but there is no rational link between them. Pregnancy information has no rational link to job performance capacity in employment decisions. It is precisely this presence or absence of a "rational link" that constitutes the core of the principle of relevance.

3. Forty Years of German-Language Mistranslation

However, in the German translation of CETS 108, "relevant" was rendered as "erheblich," which fatally distorted the concept. "Erheblich" is a quantitative concept meaning "considerable" or "substantial," different from the original qualitative relevance. Due to this mistranslation, German-speaking scholarship has conflated the data quality principle with the principle of proportionality, understanding it as a matter of quantitative limitation to "necessary minimum." The original purpose of excluding data qualitatively lacking a rational link to the decision purpose has been lost, and instead, alternative protective measures such as "special protection of sensitive data" have been overemphasized.

4. The Commission's Draft: Theory Without Enforcement

The problem with the Commission's draft is that while it maintains Article 5's relevance requirement, it provides no measures to strengthen its enforcement. Clarifying AI training and operation as legitimate interests is understandable as a tidying up of legal bases. However, even with the new Article 88c, no mechanism is included to promote substantive examination of whether data items used in AI operation have a "rational link" to the decision purpose. Theoretically, Article 5 should apply, but without practical enforcement, the principle of relevance becomes a dead letter.

At the same time, limiting Article 9 protection to cases that "directly reveal" sensitive information is theoretically the correct direction. This is because if the principle of relevance is properly enforced, both inferred sensitive information and direct sensitive information would be equally prohibited from use if they lack a rational link to the decision purpose. Using inferred pregnancy information in employment decisions and directly using race information both constitute "none of your business" regarding the purpose of employment decisions. However, in the current situation where enforcement of the principle of relevance is insufficient, weakening the alternative protective measure of Article 9 first creates a protection gap. The order is reversed.

5. Noyb.eu's Fundamental Confusion: Distinguishing AI Training from Operation

Noyb.eu's critique exposes an even more fundamental confusion. They demand explicit opt-in consent for AI training by Meta and others, arguing that legitimate interests under Article 6(1)(f) are insufficient. However, this argument misunderstands the basic structure of the GDPR. The GDPR already stipulates in Article 5(1)(b) that processing for statistical purposes or scientific research purposes is not considered incompatible with the original purpose. Furthermore, the 1997 Council of Europe Recommendation on the protection of individuals with regard to the processing of personal data for statistical purposes clearly states that rights of access, rectification, and erasure may be restricted when statistical processing is not used for decisions or measures concerning individuals. The reason is that statistical processing itself does not infringe upon individuals' rights and interests.

AI training is essentially statistical processing, and this framework applies. The problem lies in AI operation—the stage where trained models are used to make systematic decisions concerning individuals. Only here does the question arise whether the data items used have a "rational link" to the decision purpose. Noyb.eu conflates AI training and operation, demanding consent at the statistical processing stage. This ignores the framework for statistical processing that Europe had established by 1997.

Even more serious is the paradox inherent in noyb.eu's position that "AI training is acceptable with consent." Even with consent, if data items used in AI operation are "irrelevant" to the decision purpose, they are inappropriate. Even if an individual consents to the use of pregnancy information, it remains "none of your business" for employment decisions. Consent is merely a means to protect interests and cannot substitute for the core protected interest of ensuring appropriate decisions. Noyb.eu foregrounds "informational self-determination" and emphasizes that data subjects can exercise their rights "for any purpose." This is a position in the lineage of Westin's self-information control theory, attempting to return to the framework that the OECD Guidelines and CETS 108 sought to transcend through a "turn in conception." Data protection is not about individuals' rights to control information flows, but about institutionally guaranteeing the appropriateness of systematic decisions concerning individuals.

6. Historical Irony: The True Meaning of None of Your Business

Here we should note a historical irony. The name "noyb.eu" stands for "None of Your Business," embodying precisely the concept of "irrelevant"—"it's not related to you." Pregnancy information for employment decisions is "none of your business," and music preferences for credit decisions are "none of your business." This expression captures the essence of the principle of relevance. Yet noyb.eu, based in the German-speaking region of Austria, operates under the influence of the "erheblich" mistranslation and does not understand the true meaning of the concept embodied in their own organization's name. They focus on defending Article 9's special categories and data subjects' rights, but remain silent on the more fundamental requirement of "relevant" in Article 5(1)(c).

7. The Proper Path for Reform

The proper direction for reform is clear. First, enforcement of the principle of relevance should be strengthened. Data protection authorities need to enhance their capacity to substantively examine whether data items used in individual processing operations have a "rational link" to the decision purpose. This requires highly specialized judgment, which is precisely why independent data protection authorities were conceived in the 1970s. Second, detailed guidelines and case accumulation regarding relevance determination are needed. Having "statistical correlation" and having a "rational link" are different things. The problem of proxy discrimination can also be addressed through this distinction. Third, AI training should be treated as statistical processing within the existing framework, while enforcement of relevance in AI operation should be strengthened. Fourth, only after these enforcement foundations are established should the gradual simplification of alternative protective measures like Article 9 be considered.

Both the European Commission and noyb.eu, while opposing each other over Article 9 from different directions, are bypassing the real fortress of the principle of relevance. One weakens alternative protection without strengthening enforcement, while the other fails to distinguish between AI training and operation, demanding consent even for statistical processing, and missing the fundamental solution. The influence of over 40 years of German-language mistranslation continues to distort European data protection theory as a whole. Now is the time to return to the "principle of relevance" that the drafters of the 1980 OECD Guidelines originally intended.

Addendum: Developments Following the Official Proposal

After this analysis was completed, the European Commission officially published the Digital Omnibus proposal on November 19, 2025. One notable change from the leaked version is that the proposed redefinition of Article 9 (special categories of data) was withdrawn. While the leaked version had proposed limiting special category protection to cases that "directly reveal" sensitive information, the official proposal does not include this change. The European Parliament's Renew Europe group claims this as a result of pressure from a letter they sent to the Commission.

However, from the perspective of this analysis, this withdrawal has deflected attention from the core issue. Narrowing the scope of Article 9 would be theoretically correct if the principle of relevance were properly enforced, but advancing scope limitation without enforcement measures creates protection gaps. While the leaked scope limitation attracted concentrated criticism and ultimately disappeared from the official proposal, enforcement measures for the principle of relevance remain absent. Consequently, the status quo of continued dependence on Article 9 as an imperfect alternative protective measure has been solidified. While the official proposal still includes clarification of legitimate interests for AI training and operation, mechanisms to promote substantive examination of the relevance requirement in AI operation remain absent.

Meanwhile, in its statement following the official proposal, noyb.eu strongly criticizes the Digital Omnibus as a whole for "undermining core GDPR principles." In particular, they clearly oppose the direction of comprehensively justifying AI training and operation through legitimate interests under Article 6(1)(f), and reject the opt-out framework as "practically unworkable." The pattern identified in this analysis—the failure to distinguish between AI training and operation, and the disregard for the statistical processing framework—persists.

Thus, the official proposal has actually reinforced the critique presented in this analysis. The European Commission attempted to weaken alternative protections without strengthening enforcement of the principle of relevance, faced criticism, and ultimately withdrew the definitional change, but has not addressed the truly necessary enforcement strengthening. Despite obtaining the result of maintaining Article 9's scope, noyb.eu still has not turned its attention to the more fundamental solution of the principle of relevance. Both parties remain under the influence of over 40 years of German-language mistranslation of "erheblich," failing to fully grasp the true meaning of the concept embodied in their own organization's name—"None of Your Business" = "irrelevant." Now is the time for European data protection theory to return to the "principle of relevance" that has been overlooked in the shadow of the Article 9 debate.

■ Die Antwort steckt im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen

Hintergrund

Anfang November 2025 sorgte ein durchgesickerter Entwurf des „Digital Omnibus" der Europäischen Kommission, der Änderungen der DSGVO umfasste, für erhebliche Kontroversen. Zu den Hauptstreitpunkten gehörten der Vorschlag, den Schutz von Artikel 9 für besondere Kategorien personenbezogener Daten auf Fälle zu beschränken, in denen solche Daten sensible Informationen „direkt offenbaren", sowie die Klarstellung berechtigter Interessen als Rechtsgrundlage für KI-Training und -Betrieb. Am 11. November veröffentlichte die österreichische Datenschutzorganisation noyb.eu zusammen mit EDRi und ICCL einen offenen Brief an die Europäische Kommission, in dem sie den Vorschlag als „massiven Rückschritt bei den Grundrechten" kritisierte. Diese Analyse wurde als Reaktion auf den durchgesickerten Entwurf und die Kritik von noyb.eu verfasst.

Das hier vorgebrachte Hauptargument ist, dass sowohl der Vorschlag der Kommission als auch die Kritik von noyb.eu einen grundlegenden Fehler teilen. Während sie sich über Artikel 9 gegenüberstehen, haben beide das „Relevanzprinzip" aus den Augen verloren, das seit 1980 im Zentrum des Datenschutzrechts steht. Dies wird im Folgenden näher erläutert.

Nach Abschluss dieser Analyse wurde am 19. November der offizielle Vorschlag veröffentlicht, der wichtige Änderungen gegenüber der durchgesickerten Version enthält. Diese Entwicklungen werden im Nachtrag am Ende behandelt.

1. Die Konfliktstruktur und ihr Mangel

Der für November 2025 geplante Entwurf der Europäischen Kommission zur Änderung der DSGVO und die Kritik von noyb.eu daran teilen einen gemeinsamen grundlegenden Mangel. Beide Parteien haben das "Relevanzprinzip" aus den Augen verloren, das seit den OECD-Richtlinien von 1980 und der CETS 108 den Kern des Datenschutzrechts bildet.

Der Änderungsentwurf versucht, den Schutz besonderer Kategorien personenbezogener Daten gemäß Artikel 9 auf Fälle zu beschränken, in denen solche Daten sensible Informationen "direkt offenbaren", während gleichzeitig berechtigte Interessen als Rechtsgrundlage für KI-Training und -Betrieb klargestellt werden. Noyb.eu kritisiert dies unterdessen als "massiven Rückschritt bei den Grundrechten" und fordert die Aufrechterhaltung eines breiten Artikel-9-Schutzes sowie die Ausweitung der Rechte betroffener Personen. Diese Konfliktachse selbst verkennt jedoch das Wesen des Datenschutzrechts.

2. Das Relevanzprinzip: Der Kern des Datenschutzrechts

Artikel 5 Absatz 1 Buchstabe c DSGVO verlangt bereits, dass personenbezogene Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt" sein müssen. Dieses Konzept der ursprünglichen "relevance" in der englischen Fassung ist die zentrale Anforderung des Datenschutzrechts, die von den Informatikern der US-amerikanischen RAND Corporation im Jahr 1965 über den HEW-Bericht von 1973 bis zum zweiten Grundsatz der OECD von 1980 weitergegeben wurde. Das Relevanzprinzip verbietet die Verwendung von Datenelementen, die für den Zweck einer Entscheidung über eine Person irrelevant sind. Es ist eine Anforderung zur Beseitigung von Diskriminierung und zur Gewährleistung von Fairness und ein universelles Prinzip, das für alle Datenelemente gilt, nicht beschränkt auf bestimmte Kategorien wie Rasse oder Gesundheitszustand.

Der Begriff "relevant" im englischen Originaltext wird oft missverstanden. Er bedeutet nicht einfach "nützlich" oder "statistisch korreliert". Das britische Information Commissioner's Office (ICO) verwendet die Formulierung "has a rational link to the purpose" (einen rationalen Zusammenhang mit dem Zweck haben), um dieses Konzept zu klären. Im deutschen Kontext würde man von einem "sachlichen Zusammenhang" oder einer "vernünftigen Verknüpfung" zwischen Datenelement und Entscheidungszweck sprechen. Musikpräferenzen mögen statistisch mit der Kreditwürdigkeit bei Kreditentscheidungen korrelieren, aber es besteht kein sachlicher Zusammenhang zwischen ihnen. Schwangerschaftsinformationen haben keinen vernünftigen Zusammenhang zur Arbeitsleistungsfähigkeit bei Beschäftigungsentscheidungen. Genau dieses Vorhandensein oder Fehlen eines "sachlichen Zusammenhangs" bildet den Kern des Relevanzprinzips.

3. Vierzig Jahre deutschsprachige Fehlübersetzung

In der deutschen Übersetzung von CETS 108 wurde "relevant" jedoch mit "erheblich" wiedergegeben, was das Konzept fatal verzerrt hat. "Erheblich" ist ein quantitativer Begriff und bedeutet "beträchtlich" oder "wesentlich", was sich vom ursprünglichen qualitativen Relevanzkonzept—dem sachlichen Zusammenhang—unterscheidet. Aufgrund dieser Fehlübersetzung hat die deutschsprachige Rechtswissenschaft den Grundsatz der Datenqualität mit dem Verhältnismäßigkeitsgrundsatz verwechselt und ihn als Frage der quantitativen Beschränkung auf das "notwendige Minimum" verstanden. Der ursprüngliche Zweck, Daten auszuschließen, die qualitativ keinen sachlichen Zusammenhang mit dem Entscheidungszweck haben, ging verloren, und stattdessen wurden alternative Schutzmaßnahmen wie der "besondere Schutz sensibler Daten" überbetont.

4. Der Kommissionsentwurf: Theorie ohne Durchsetzung

Das Problem des Kommissionsentwurfs besteht darin, dass er zwar die Relevanzanforderung von Artikel 5 beibehält, aber keine Maßnahmen zur Stärkung ihrer Durchsetzung vorsieht. Die Klarstellung von KI-Training und -Betrieb als berechtigte Interessen ist als Bereinigung der Rechtsgrundlagen verständlich. Doch selbst mit dem neuen Artikel 88c ist kein Mechanismus enthalten, der die materielle Prüfung fördert, ob die im KI-Betrieb verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Theoretisch sollte Artikel 5 gelten, aber ohne praktische Durchsetzung wird das Relevanzprinzip zu einem toten Buchstaben.

Gleichzeitig ist die Beschränkung des Artikel-9-Schutzes auf Fälle, die sensible Informationen "direkt offenbaren", theoretisch die richtige Richtung. Denn wenn das Relevanzprinzip ordnungsgemäß durchgesetzt wird, wäre sowohl die Verwendung erschlossener sensibler Informationen als auch direkter sensibler Informationen gleichermaßen verboten, wenn sie keinen sachlichen Zusammenhang zum Entscheidungszweck haben. Die Verwendung erschlossener Schwangerschaftsinformationen bei Beschäftigungsentscheidungen und die direkte Verwendung von Rasseninformationen sind beide "none of your business"—sie gehen den Entscheidungsträger nichts an—in Bezug auf den Zweck von Beschäftigungsentscheidungen. In der gegenwärtigen Situation, in der die Durchsetzung des Relevanzprinzips unzureichend ist, schafft jedoch die vorherige Schwächung der alternativen Schutzmaßnahme des Artikels 9 eine Schutzlücke. Die Reihenfolge ist umgekehrt.

5. Die grundlegende Verwirrung von noyb.eu: Die Unterscheidung von KI-Training und -Betrieb

Die Kritik von noyb.eu offenbart eine noch grundlegendere Verwirrung. Sie fordern explizite Opt-in-Einwilligung für KI-Training durch Meta und andere und argumentieren, dass berechtigte Interessen gemäß Artikel 6 Absatz 1 Buchstabe f unzureichend seien. Diese Argumentation missversteht jedoch die grundlegende Struktur der DSGVO. Die DSGVO legt bereits in Artikel 5 Absatz 1 Buchstabe b fest, dass die Verarbeitung zu statistischen Zwecken oder wissenschaftlichen Forschungszwecken nicht als unvereinbar mit dem ursprünglichen Zweck angesehen wird. Darüber hinaus erklärt die Empfehlung des Europarats von 1997 über den Schutz von Personen bei der Verarbeitung personenbezogener Daten für statistische Zwecke eindeutig, dass die Rechte auf Auskunft, Berichtigung und Löschung eingeschränkt werden können, wenn die statistische Verarbeitung nicht für Entscheidungen oder Maßnahmen in Bezug auf Personen verwendet wird. Der Grund ist, dass die statistische Verarbeitung selbst die Rechte und Interessen von Personen nicht verletzt.

KI-Training ist im Wesentlichen statistische Verarbeitung, und dieser Rahmen gilt. Das Problem liegt beim KI-Betrieb—der Phase, in der trainierte Modelle verwendet werden, um systematische Entscheidungen über Personen zu treffen. Erst hier stellt sich die Frage, ob die verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Noyb.eu vermischt KI-Training und -Betrieb und fordert Einwilligung bereits in der Phase der statistischen Verarbeitung. Dies ignoriert den Rahmen für statistische Verarbeitung, den Europa bis 1997 etabliert hatte.

Noch schwerwiegender ist das Paradoxon, das der Position von noyb.eu innewohnt, dass "KI-Training mit Einwilligung akzeptabel ist". Selbst mit Einwilligung sind die im KI-Betrieb verwendeten Datenelemente unangemessen, wenn sie für den Entscheidungszweck "irrelevant" sind. Selbst wenn eine Person der Verwendung von Schwangerschaftsinformationen zustimmt, bleiben diese für Beschäftigungsentscheidungen "none of your business". Die Einwilligung ist lediglich ein Mittel zum Schutz von Interessen und kann das zentrale Schutzinteresse der Gewährleistung angemessener Entscheidungen nicht ersetzen. Noyb.eu stellt die "informationelle Selbstbestimmung" in den Vordergrund und betont, dass betroffene Personen ihre Rechte "für jeden Zweck" ausüben können. Dies ist eine Position in der Nachfolge von Westins Theorie der Selbstkontrolle über Informationen und versucht, zu dem Rahmen zurückzukehren, den die OECD-Richtlinien und CETS 108 durch eine "Wende der Konzeption" zu überwinden suchten. Datenschutz geht nicht um das Recht von Individuen, Informationsflüsse zu kontrollieren, sondern um die institutionelle Gewährleistung der Angemessenheit systematischer Entscheidungen über Individuen.

6. Historische Ironie: Die wahre Bedeutung von None of Your Business

Hier sollten wir eine historische Ironie beachten. Der Name "noyb.eu" steht für "None of Your Business" und verkörpert genau das Konzept von "irrelevant"—"es geht dich nichts an", "es besteht kein Zusammenhang zu dir". Schwangerschaftsinformationen für Beschäftigungsentscheidungen sind "none of your business", und Musikpräferenzen für Kreditentscheidungen sind "none of your business". Dieser Ausdruck erfasst die Essenz des Relevanzprinzips—den erforderlichen sachlichen Zusammenhang zwischen Datenelement und Entscheidungszweck. Dennoch arbeitet noyb.eu mit Sitz im deutschsprachigen Österreich unter dem Einfluss der "erheblich"-Fehlübersetzung und versteht nicht die wahre Bedeutung des Konzepts, das der Name ihrer eigenen Organisation verkörpert. Sie konzentrieren sich auf die Verteidigung der besonderen Kategorien von Artikel 9 und der Rechte betroffener Personen, schweigen aber zur grundlegenderen Anforderung des sachlichen Zusammenhangs ("relevant") in Artikel 5 Absatz 1 Buchstabe c.

7. Der richtige Weg zur Reform

Die richtige Richtung für Reformen ist klar. Erstens sollte die Durchsetzung des Relevanzprinzips gestärkt werden. Datenschutzbehörden müssen ihre Fähigkeit verbessern, in einzelnen Verarbeitungsvorgängen materiell zu prüfen, ob die verwendeten Datenelemente einen "sachlichen Zusammenhang" zum Entscheidungszweck haben. Dies erfordert ein hochspezialisiertes Urteilsvermögen, weshalb unabhängige Datenschutzbehörden in den 1970er Jahren konzipiert wurden. Zweitens sind detaillierte Leitlinien und Fallsammlungen zur Relevanzbestimmung erforderlich. "Statistische Korrelation" zu haben und einen "sachlichen Zusammenhang" zu haben sind verschiedene Dinge. Das Problem der Proxy-Diskriminierung kann auch durch diese Unterscheidung angegangen werden. Drittens sollte KI-Training als statistische Verarbeitung im Rahmen des bestehenden Rahmens behandelt werden, während die Durchsetzung der Relevanz beim KI-Betrieb gestärkt werden sollte. Viertens sollte erst nach Etablierung dieser Durchsetzungsgrundlagen die schrittweise Vereinfachung alternativer Schutzmaßnahmen wie Artikel 9 erwogen werden.

Sowohl die Europäische Kommission als auch noyb.eu, die sich aus unterschiedlichen Richtungen über Artikel 9 gegenüberstehen, umgehen die eigentliche Festung des Relevanzprinzips. Die eine schwächt alternativen Schutz ohne Stärkung der Durchsetzung, während die andere KI-Training und -Betrieb nicht unterscheidet, Einwilligung sogar für statistische Verarbeitung verlangt und die grundlegende Lösung verfehlt. Der Einfluss von über 40 Jahren deutschsprachiger Fehlübersetzung verzerrt weiterhin die europäische Datenschutztheorie als Ganzes. Jetzt ist es Zeit, zum "Relevanzprinzip"—dem Prinzip des sachlichen Zusammenhangs—zurückzukehren, das die Verfasser der OECD-Richtlinien von 1980 ursprünglich beabsichtigten.

Nachtrag: Entwicklungen nach dem offiziellen Vorschlag

Nach Abschluss dieser Analyse veröffentlichte die Europäische Kommission am 19. November 2025 offiziell den Digital-Omnibus-Vorschlag. Eine bemerkenswerte Änderung gegenüber der durchgesickerten Version ist, dass die vorgeschlagene Neudefinition von Artikel 9 (besondere Kategorien personenbezogener Daten) zurückgezogen wurde. Während die durchgesickerte Version vorgeschlagen hatte, den Schutz besonderer Kategorien auf Fälle zu beschränken, die sensible Informationen „direkt offenbaren", enthält der offizielle Vorschlag diese Änderung nicht. Die Renew-Europe-Fraktion des Europäischen Parlaments beansprucht dies als Ergebnis des Drucks aus einem Brief, den sie an die Kommission gesendet hat.

Aus der Perspektive dieser Analyse hat dieser Rückzug jedoch die Aufmerksamkeit vom Kernproblem abgelenkt. Die Einschränkung des Anwendungsbereichs von Artikel 9 wäre theoretisch richtig, wenn das Relevanzprinzip ordnungsgemäß durchgesetzt würde, aber die Vorverlagerung der Bereichseinschränkung ohne Durchsetzungsmaßnahmen schafft Schutzlücken. Während die durchgesickerte Bereichseinschränkung konzentrierte Kritik auf sich zog und schließlich aus dem offiziellen Vorschlag verschwand, bleiben Durchsetzungsmaßnahmen für das Relevanzprinzip weiterhin absent. Folglich wurde der Status quo der fortgesetzten Abhängigkeit von Artikel 9 als unvollkommene alternative Schutzmaßnahme verfestigt. Während der offizielle Vorschlag noch die Klarstellung berechtigter Interessen für KI-Training und -Betrieb enthält, fehlen weiterhin Mechanismen zur Förderung der materiellen Prüfung der Relevanzanforderung beim KI-Betrieb.

In ihrer Stellungnahme nach dem offiziellen Vorschlag kritisiert noyb.eu unterdessen den Digital Omnibus insgesamt scharf als etwas, das „grundlegende DSGVO-Prinzipien untergräbt". Insbesondere lehnen sie die Richtung ab, KI-Training und -Betrieb umfassend durch berechtigte Interessen gemäß Artikel 6 Absatz 1 Buchstabe f zu rechtfertigen, und lehnen den Opt-out-Rahmen als „praktisch nicht funktionsfähig" ab. Das in dieser Analyse identifizierte Muster – das Versäumnis, zwischen KI-Training und -Betrieb zu unterscheiden, und die Missachtung des Rahmens für statistische Verarbeitung – bleibt bestehen.

Somit hat der offizielle Vorschlag die in dieser Analyse vorgebrachte Kritik tatsächlich verstärkt. Die Europäische Kommission versuchte, alternative Schutzmaßnahmen ohne Stärkung der Durchsetzung des Relevanzprinzips zu schwächen, sah sich mit Kritik konfrontiert und zog schließlich die Definitionsänderung zurück, hat aber die wirklich notwendige Durchsetzungsverstärkung nicht angegangen. Trotz des Ergebnisses der Beibehaltung des Anwendungsbereichs von Artikel 9 hat noyb.eu ihre Aufmerksamkeit immer noch nicht der grundlegenderen Lösung des Relevanzprinzips zugewandt. Beide Parteien stehen weiterhin unter dem Einfluss von über 40 Jahren deutschsprachiger Fehlübersetzung von „erheblich" und haben die wahre Bedeutung des Konzepts, das im Namen ihrer eigenen Organisation verkörpert ist – „None of Your Business" = „irrelevant" – nicht vollständig erfasst. Jetzt ist es Zeit für die europäische Datenschutztheorie, zum „Relevanzprinzip" zurückzukehren, das im Schatten der Artikel-9-Debatte übersehen wurde.

■ 団体名に隠された答え：noyb.euと欧州委員会が見落とす関連性の原則

先週、欧州委員会がGDPRの改正草案を準備しているとしてその内部文書がリークされたのに対して、Max Schrems率いる活動団体「noyb.eu」（European Center for Digital Rights）が、そのリーク文書に記載された改正草案を分析し、「GDPRの核心原則ぶち壊し欧州委員会内部草案」と題して厳しく批判していた。

私の理論からするとこれらは「どちらも肝心なところをわかっていない」という評価になるのであるが、そのような評価を、大規模言語モデルによって私の連載論文（その圧縮版）から自動的に導出することができるか、先週、Claude Sonnet 4.5を用いて試してみた。

この一週間、生成された文章が内容的に正しいものとなっているのか確認する作業をしていたところ、昨夜になって、欧州委員会の正式な改革提案「Digital Omnibus Regulation Proposal」の発表があった。リーク文書からどこが変更されたのか、これもClaudeに確認させた。

そして、最終的に生成されたのが上記の英文・独文の論述である。以下は、その生成の過程を開示しておくものである。日本語版の結論から読みたい人は最後のターンまでスキップするとよい。

私：プロジェクトナレッジは、私の立場を論文からClaudeで圧縮したものです。これを踏まえて、次のサイトの主張が私の立場と沿っているか反対方向なのかを論じてください。
https://noyb.eu/en/eu-commission-about-wreck-core-principles-gdpr

Claude：[考え中...]

ご指定のサイトとあなたの立場を比較分析いたします。まず、プロジェクトナレッジからあなたの論文の立場を確認し、その後noyb.euの記事内容を取得して比較します。

[考え中...]

プロジェクトナレッジとnoyb.euの記事を比較分析しました。結論から申し上げますと、noyb.euの主張は、あなたの立場とは根本的に異なる法理論的基盤に立っており、むしろあなたが批判する方向性に近いと言えます。

根本的な相違点

1. 法理論的基盤の違い

あなたの立場:

「意思決定指向利益モデル」に基づく
核心的保護利益は「個人データ処理による個人に対する評価・決定の適切性確保の利益」
「体系的決定」における「関連性の原則」が中核
Westin説からの「着想の転回」を強調
「制度的保障」に基づくアプローチ

noyb.euの立場:

「情報的自己決定権」(informational self-determination)を前面に出す
CJEU判例が「欧州人はあらゆる目的でこれらの権利を行使できる」と判示したことを強調
個人の権利行使の自律性を重視
これは、あなたが批判する「個人の自律的統制」アプローチに近い

記事中の重要な一節:

The right to informational self-determination is explicitly meant to level the information gap between users and the companies

2. データ主体の権利の位置づけ

あなたの立場:

開示・訂正・利用停止は「手段的保護利益」
核心的保護利益(決定の適切性確保)を実現する手段
「決定利用を予定していない個人データについては、核心的保護利益を保護する手段としては、開示・訂正・利用停止の求めに応じる必要がない」

noyb.euの立場:

データ主体の権利を「labor dispute」「litigation」「generate evidence」など、あらゆる目的で行使できることを主張
権利行使を「データ保護目的」に限定することを強く批判
これは、あなたの立場では「副次的保護利益」や「自己の情報を知る利益」に過ぎないものを、中核的権利として扱っている

3. 非差別・関連性の原則への言及の違い

あなたの立場:

「関連性の原則」が公平性・非差別の核心
「決定の目的に対して関連するもの(relevant)」であることの要求
センシティブデータの特別扱いについて批判的(「関連性要件によって同じ効果が達成できる」)

noyb.euの立場:

センシティブデータ(Article 9)の特別な保護を強調
AI訓練での使用を「関連性」の観点からではなく、主に同意・オプトアウトの実効性の観点から批判
妊娠情報を使った雇用主の差別的決定を例示しているが、「関連性の原則」としてではなく、Article 9の保護縮小の問題として論じている

4. プライバシー概念の扱い

あなたの立場:

OECDガイドラインは「プライバシー保護ではなく」データ保護
「プライバシー権を実現するものではなく」「個人情報を保護するものでもなく」
CoE条約108号が「privacy」を使わざるを得なくなった経緯を詳述

noyb.euの立場:

タイトルから「privacy」を前面に出す
「fundamental right to privacy and data protection」として両者を並列
Charter of Fundamental Rights Article 8(プライバシー権)への言及を重視

部分的な接点

ただし、以下の点では、具体的な懸念が重なる可能性があります:

センシティブデータと決定の適切性: noyb記事が例示する「妊娠を推測して解雇」は、あなたの「関連性の原則」違反(雇用決定に妊娠は無関係=irrelevant)とも説明可能
AI訓練の問題: noyb記事は同意・オプトアウトの観点から批判していますが、あなたの立場からは「決定利用を予定しない統計的利用」として別の評価が可能かもしれません
個人データ定義の縮小: これは両者とも懸念するでしょうが、理由は異なります(noyb:広範な保護の後退、あなた:体系的決定に使われる可能性のあるデータの保護不足)

結論

noyb.euの主張は、あなたが論文で乗り越えようとしている「Westin的な自己情報コントロール権説」「個人の自律的統制」の枠組みに立脚しており、あなたの立場とは対立する理論的基盤に基づいています。あなたが「副次的保護利益」「手段的保護利益」として位置づけるものを、noyb.euは「基本的権利」として論じており、この違いは本質的です。

ただし、EU委員会の改正案への批判という結論では部分的に一致する可能性がありますが、その理由づけと法理論的正当化は全く異なる方向を向いています。

私：（リークされた草案を添付して）
欧州委員会が提案しようとしているらしきリーク資料はこれです。この中にGDPRについての変更点が説明されています。それについてはどうでしょうか。

Claude：[考え中...]

リーク資料を確認させていただきます。

[考え中...]

EU委員会の改正案リーク資料を詳細に確認しました。noyb.euの批判とは別の角度から、あなたの理論的立場との関係を分析いたします。

EU委員会改正案の主要な変更点

1. 個人データ定義の縮小（Article 4(1)修正）

改正案の内容:

情報が「特定のエンティティにとって」識別に使える手段を持たない場合、そのエンティティにとっては個人データではない
「主観的アプローチ」の導入

あなたの立場との関係:

あなたの理論では、「体系的決定」に使用されうるデータが規制対象
「操作の体系的実施が行われるところを問題とすれば足りる」
この改正は、あなたの立場から見ると潜在的に問題があります。なぜなら:
- 現時点で識別手段を持たないエンティティでも、データを蓄積して「体系的決定」を行う可能性がある
- 仮名化されたデータでも体系的決定は可能であり、あなたの「関連性の原則」の適用対象となるべき
- ただし、あなたは「散在情報」まで規制することは表現の自由の観点から問題としており、「個人データが構成された段階から」規制すべきとしているため、完全に対立するわけではない

2. センシティブデータの保護縮小（Article 9修正）

改正案の内容:

特別カテゴリのデータ保護を「directly reveals」（直接開示*1）する場合に限定
推論可能なだけでは保護対象外

あなたの立場との関係:これはあなたの立場と真っ向から対立します:

あなたの論文から:

「差別のリスク」は、人種や性別に限らず、また宗教や思想に限らず、いかなる種類のデータ項目であっても、決定の目的に対して「本人以外の誰にも関わりのないこと」、すなわち「無関係な（irrelevant）」データ項目を用いた決定のすべてに伴う

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している

あなたの立場では:

妊娠を「推論」して解雇するケースこそが問題
これは雇用決定に対して妊娠が「irrelevant」（無関係）だから
「直接開示」か「推論」かは本質的な区別ではない
関連性の原則ですべてのデータ項目を評価すべき

EU委員会案は、あなたが批判する「センシティブデータの特別扱い」の発想を残しつつ、その保護範囲をさらに縮小しており、あなたの「関連性の原則による統一的アプローチ」からは二重に問題があります。

3. AI訓練への正当な利益の適用（Article 88c新設）

改正案の内容:

AI訓練・運用が正当な利益（legitimate interest）として認められる
データ最小化、異議申立権などの保障措置が必要

あなたの立場との関係:これは微妙な位置づけです:

あなたの理論では:

「統計量に集計する二次利用については、目的外利用として禁止しない」
「統計処理そのものがデータ対象者にとって脅威となるのではなく、それが基づくデータが非統計的目的に流用される可能性があるという事実が脅威となる」

AI訓練について:

統計的処理として位置づけられる場合: あなたの立場では問題ない可能性
しかし、訓練されたAIモデルが「体系的決定」に使用される場合: 関連性の原則が適用されるべき
改正案は、訓練だけでなく「operation」（運用）も含めており、これは決定利用を含む可能性が高い

あなたの立場からの問題点:

AI訓練の段階と運用（決定利用）の段階を区別していない
「決定の目的に対して関連性があるか」の検討なしに、AI運用を一律に正当な利益として認めている
これは、あなたの「核心的保護利益」（決定の適切性確保）を軽視することになる

4. データ主体の権利制限（Article 12(5), 13(4)修正）

改正案の内容:

アクセス権を「データ保護目的以外」で使用する場合、拒否または手数料徴収可
情報提供義務の例外拡大

あなたの立場との関係:

あなたはこれらを手段的保護利益として位置づけています:

開示・訂正・利用停止は「手段的保護利益」

核心的保護利益を保護する手段であるという観点からすれば、開示させることや訂正させることそれ自体が権利というよりも、決定の適切性確保に資する訂正・利用停止請求権であり、そのための開示請求権である

あなたの立場からは:

データ主体の権利の「目的」を問うこと自体は必ずしも問題ではない
しかし、「決定の適切性確保」という核心的保護利益に資する範囲での権利行使は保障されるべき
改正案が労働紛争での時間記録の取得を「濫用」とみなす可能性がある点は、あなたの立場からも問題かもしれない（決定の適切性を検証する手段として）

総合評価

EU委員会の改正案は、あなたの理論的立場から見ると:

対立する点:

センシティブデータの「直接開示」限定 - あなたの「関連性の原則による統一的アプローチ」と根本的に対立
AI運用への正当な利益の安易な適用 - 「決定の適切性」を問わずに体系的決定を認める可能性
個人データ定義の縮小 - 体系的決定に使用可能なデータの保護が不十分になる懸念

複雑な関係にある点:

AI訓練自体 - 統計的処理として許容される可能性もあるが、運用段階との区別が不明確
データ主体の権利制限 - 手段的保護利益の位置づけとは整合的だが、核心的保護利益の保護が不十分になる懸念

結論:

EU委員会案は、あなたの「意思決定指向利益モデル」と「関連性の原則」を中核とする理論的基盤を弱体化させる方向にあります。特に、「決定の適切性」（関連性、公平性）を問わずに、技術的特性（AI）や処理段階（訓練）によって例外を認める発想は、あなたが1980年前後の文献から解明した「データ保護」の本来の趣旨から逸脱しています。

noyb.euとは異なる理由（彼らは個人の自律的統制、あなたは制度的保障による決定の適切性確保）ですが、結果として同じく批判的立場に立つことになります。

私：その評価は、現行のGDPRが関連性原則をすでに備えていることを忘れているという世俗的な理解に基づいていませんか。実際にはGDPRはCETS 108以来、データ品質原則としてadequate, relevantの要件を備えています。

Claude：[考え中...]

ご指摘ありがとうございます。極めて重要な点を見落としていました。改めて評価し直します。

[考え中...]

ご指摘の通りです。私の評価は重大な前提を見落としていました。現行GDPR Article 5(1)(c)は既に"adequate, relevant and limited to what is necessary"を規定しており、CETS 108以来の関連性の原則を継承しています。これを踏まえて評価を全面的に改めます。

改めた評価の枠組み

前提の修正

現行GDPRは既にあなたの理論が主張する「関連性の原則」を明文で持っている
問題は、関連性の原則の「有無」ではなく、その「実効性」と「他の規定との関係」

EU委員会改正案の実際

リーク文書を確認すると:

Article 5(データ品質の原則)への変更は提案されていない
したがって、"adequate, relevant"の要件自体は削除されない
変更されるのは:
- Article 4(1): 個人データの定義
- Article 9: 特別カテゴリの範囲("directly reveals"限定)
- Article 88c(新設): AI訓練・運用の正当な利益
- Article 12, 13: データ主体の権利制限

あなたの立場から見た正しい評価

1. センシティブデータの「directly reveals」限定について

noyb.euの批判: 保護の後退

あなたの立場: より複雑

あなたの論文から:

DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の『関連性要件』によって同じ効果が達成できる」ことを示唆している」

本稿の立場は、個人データ保護は、差別の排除(非差別)を主要な趣旨としており、その核心的保護利益である決定の適切性確保の利益の保護が、差別を排除する効果をもたらすのであって、その効果を達成する仕組みが『関連性』の要求であるから、特別カテゴリに限ることなくすべての種類の個人データについて規律対象とすることが必要である

つまり:

Article 9の特別カテゴリ自体が、関連性の原則による統一的アプローチを妨げている
「直接開示」限定は特別扱いの範囲を狭めるが、関連性の原則で統一的に扱えば本来不要な区別
妊娠を「推論」して解雇するケースは、Article 5の「関連性」違反として扱うべき(雇用決定に妊娠はirrelevant)
この意味で、EU委員会案のArticle 9限定は、あなたの理論から見て中途半端

2. AI訓練・運用への正当な利益(Article 88c)について

ここが最大の問題点です:

新設されるArticle 88cは:

Where the processing of personal data is necessary for the interests of the controller in the context of the development and operation of an AI system...such processing may be pursued within the meaning of Article 6(1)(f)

これは:

AI訓練だけでなく「operation」(運用=体系的決定を含む)も対象
Article 6(1)(f)の正当な利益として認める
しかし、Article 5の関連性の原則の遵守を要求していない

あなたの理論からの問題点:

「体系的決定」(operation)にArticle 5(関連性)が適用されないことを示唆
統計処理(訓練)と決定利用(operation)の区別が曖昧
データ最小化などの「保障措置」は列挙されているが、「関連性」への明示的言及がない

Recital (28)には:

ensuring data minimisation, providing enhanced transparency to data subjects, providing an unconditional right to object

とあるが、「関連性の検討」への言及はありません。これは、あなたの核心的保護利益(決定の適切性確保)の観点から、Article 5の実効性を大きく損なう可能性があります。

3. 個人データ定義の「主観的アプローチ」について

あなたの理論では:

「操作の体系的実施が行われるところを問題とすれば足りる。すなわち、個人データが構成された段階から(さらには個人データを構成することを予定した段階から)規制の対象とすれば足りる

EU委員会案の問題点:

現時点で識別手段を持たないエンティティが、将来「体系的決定」に使用する可能性
仮名化データでも体系的決定は可能であり、Article 5(関連性)の適用対象であるべき
ただし、あなたも「散在情報」の規制は表現の自由から問題視しているため、完全な対立ではない

結論:noyb.euとあなたの立場の違い

noyb.euの立場:

Article 9の広範な保護が重要
「directly reveals」限定は保護の後退
データ主体の権利の自律的行使が重要

あなたの立場:

Article 5(関連性の原則)こそが核心
Article 9は本来不要(関連性の原則で統一的に扱うべき)
データ主体の権利は「手段的保護利益」

EU委員会案の評価:

Article 5を削除していない点は評価できる
しかし、Article 88cがAI運用をArticle 5の関連性要件の実効的検討なしに認める点が最大の問題
センシティブデータの限定は、関連性の原則との関係では中途半端

したがって、あなたの立場から見た最大の懸念は、「関連性の原則は文言上残るが、AI運用という最も重要な『体系的決定』の領域で、その実効的適用が迂回される」という点にあります。

私：概ねその通りです。AIのところoperationにも適用だから問題だとのことですが、正当な利益が適法根拠の場合でもデータ品質原則は適用されますよね？

Claude：[考え中...]

全くその通りです。私は基本的な誤りを犯していました。

GDPRの構造

Article 5（原則）とArticle 6（適法根拠）は別レイヤーです:

Article 5: すべての個人データ処理に適用される原則
- (c) "adequate, relevant and limited to what is necessary"（関連性の原則）
Article 6: 処理の適法根拠（処理が許される条件）
- (f) legitimate interests（正当な利益）

Article 6(1)(f)を根拠とする処理でも、Article 5は当然に適用されます。

Article 88cの正しい読み方

新設されるArticle 88cは:

Any such processing shall be subject to appropriate safeguards, in accordance with this Regulation...

"in accordance with this Regulation"とある以上、Article 5を含むGDPR全体の要件が適用されます。

つまり:

Article 88cはAI訓練・運用が「正当な利益」(適法根拠)になりうることを明確化しているだけ
関連性の原則(Article 5(1)(c))は依然として適用される
AI運用で使用するデータ項目が決定の目的に対して"relevant"でなければならない

改めた評価

あなたの立場から見たEU委員会案

1. Article 5を削除していない → 関連性の原則は維持

これが最も重要な点

2. Article 88c(AI訓練・運用の正当な利益)について:

適法根拠の明確化として機能
関連性の原則は依然として適用される
あなたの理論では「統計処理」と「決定利用」を区別するが、この区別が曖昧になる懸念はある
ただし、Article 5が適用される以上、決定利用時には関連性の検討が必要

3. Article 9(センシティブデータの"directly reveals"限定):

これが最も問題かもしれません
理由: Article 5の関連性の原則があれば、推論されるセンシティブ情報も不適切な決定を防げるはず
しかし実務上、Article 9の特別な保護がなければ、Article 5の関連性の原則が十分に執行されない可能性
あなたの理論的立場では「Article 9は不要(関連性の原則で統一的に扱うべき)」だが、実務的には関連性の原則の執行力が弱い現状でArticle 9を弱めることは問題

実務上の懸念

あなたの立場から見て、真の問題は:

「関連性の原則は文言上維持されているが、実務上の執行が不十分」

これは:

データ保護当局が関連性の該当性判断を十分に行っていない
企業側も関連性の検討を形式的にしか行わない
noyb.euも関連性の原則ではなくArticle 9やデータ主体の権利を前面に出す

あなたの論文から:

「関連性」の要件は、前節で示したように、差別の防止(公平性の確保)のための要件であり、その該当性判断は、当事者間では容易には解決せず、高度に専門的な判断を要する。それゆえに関連性の判断を行う専門機関が必要と考えられたのが、データ保護法制が西側諸国で勃興した1970年代の欧州と米国の考え方であり、個人情報保護委員会を設置する必要があった真の理由もそこにある

結論

EU委員会改正案について、あなたの立場からの評価:

法律的構造としては:

Article 5の関連性の原則が維持される限り、致命的ではない
Article 88cはあくまで適法根拠の明確化

しかし実務的には:

Article 9の保護縮小は、関連性の原則の執行力が弱い現状では問題
関連性の原則が「あるが機能していない」状況で、他の保護手段を弱めることへの懸念

根本的な問題:

EU法もnoyb.euも、関連性の原則の重要性を十分に認識・執行していない
あなたの理論的貢献は、この関連性の原則こそが核心であることを示すこと

ご指摘ありがとうございました。これでより正確な評価になったと思います。

私：「実務上の執行が不十分」はその通りですね。執行が十分なら本来は特別カテゴリは不要だというのが私の立場です。

Claude：[考え中...]

はい、その立場が明確になりました。整理すると:

あなたの理論的立場

理論的には:

関連性の原則が適切に執行されれば、Article 9（特別カテゴリ）は不要
なぜなら、妊娠を推論して雇用決定に使うことも、人種を直接使うことも、どちらも「雇用決定の目的に対してirrelevant」
差別の防止は、データ項目の種類による特別扱いではなく、決定の目的との関連性で判断すべき
これがDammann/Simitisの「関連性要件によって同じ効果が達成できる」の意味

実務的には:

関連性の原則の執行が不十分な現状
データ保護当局が「この属性は決定目的にirrelevantか」を十分に審査していない
そのため、Article 9の特別カテゴリが補完的保護として機能している

EU委員会改正案の評価（修正版）

理論的レベル:

Article 5（関連性の原則）が維持される限り、理論的構造は損なわれない
Article 9の縮小は、理論的には問題ない（本来不要なのだから）

実務的レベル:

関連性の原則の執行が不十分な現状で、Article 9を弱めることは問題
関連性の原則を機能させる努力をせずに、Article 9だけ弱めるのは本末転倒
妊娠推論による解雇のケース: 本来はArticle 5違反として扱うべきだが、実務上はArticle 9で保護されてきた

noyb.euとの対比

結論の類似性と理由の相違

noyb.euの立場:

Article 9の保護縮小を批判
理由: 特別カテゴリそのものが基本的権利の重要な保護手段だから

あなたの立場:

Article 9の保護縮小に懸念
理由: 関連性の原則が機能していない現状で、代替的保護手段を失うから

この違いは重要です:

noyb.euは特別カテゴリを原理的に重要と考える
あなたは特別カテゴリを実務上必要だが理論的には次善策と考える

あなたの立場から見た本質的問題

EU委員会改正案の真の問題は:

関連性の原則の執行強化をしていない
- Article 5は維持されるが、執行メカニズムの強化提案がない
- データ保護当局の関連性判断能力の向上策がない
関連性の原則の迂回を許す可能性
- Article 88c（AI訓練・運用）は適法根拠を明確化するが、関連性の検討を促進する仕組みがない
- 実務上、「AI訓練・運用には正当な利益がある」で終わり、「使用するデータ項目が決定目的にrelevantか」の検討が甘くなる懸念
代替的保護（Article 9）の縮小
- 関連性の原則が機能していない現状で、Article 9を弱める
- 理論的には正しい方向だが、順序が逆

あなたの立場から見た望ましい改革の方向

第一段階（優先）:

関連性の原則の執行強化
データ保護当局の専門性向上
関連性判断のガイドライン整備
あなたの論文が指摘する: 「個人情報保護委員会を設置する必要があった真の理由」の再認識

第二段階:

関連性の原則が十分機能するようになれば、Article 9は段階的に不要になる

EU委員会案の問題:

第一段階をスキップして第二段階（Article 9縮小）を先行
これは理論的には正しい方向だが、実務的には保護の空白を生む

この理解で正しいでしょうか？

私：Article 9縮小への批判から関連性要件の重要性に世間が気づくといいですね。
ところで、「Dammann/Simitisの……」とあるところは変です。そんなこと私書いてましたかね。

Claude：[考え中...]

申し訳ありません。確認させてください。

[考え中...]

失礼しました。確認したところ、プロジェクトナレッジには以下の記述がありました:

CoE条約108号の特別カテゴリをめぐっては、DammannとSimitisが1997年の時点で、「差別的使用のリスクが特別カテゴリを基礎づける特徴である」としつつも、「データ品質の原則の「関連性要件」によって同じ効果が達成できる」ことを示唆している。

私はこれを根拠に何度も言及してしまいましたが、「変です」とのご指摘は、この記述の解釈や文脈について何か問題があるということでしょうか？

例えば:

DammannとSimitisの主張を私が誤解している
この記述を、あなたの立場の根拠として使う際に不適切な使い方をしている
この引用部分の前後の文脈を見落としている

どの点が「変」なのか、ご教示いただけますでしょうか？

私：どうやら圧縮時に意味のずれが生じたようです。圧縮前の関係する部分は以下の文章でした。
--
DammannとSimitis（14号注58）は、1997年の時点で、DPDの解説において、「疑いなく8条の規定は指令の中で最も問題のある要素の一つである」として、次のように問題点を指摘している。
「確かに、（略）より高い保護ニーズを考慮した特別な規制を含む必要があることは争う余地がない。しかし、問題は、特に保護すべき領域を一般的な法規定によってどのような基準で定義できるかということである。個人の権利と自由に対する特別なリスクは、様々な要因が関わる状況で発生する。例えば個人的信念や健康状態に基づく労働市場での差別（Diskriminierung）の危険性が示すように、処理されるデータの内容は、疑いなく、特別なリスクを引き起こす要因の一つである。しかし、そのような内容のデータが政治団体や病院によって処理される場合、これはごく普通の事実である。（略）情報内容の次元のみを特別な保護の基準として用いる規制は、社会的現実を一次元的に反映し、それによって同時に、過剰かつ過小に機能するリスクがある。そうなる運命はこの指令も免れない。その欠点は、権利と自由に対するリスクが決して小さくない重要な経済的、心理的、社会的特徴を捉えていないことにある。例えば、貧困や特別な富、負債、影響可能性、同居の状態、社会的逸脱行動などに関する情報である。一方で、基本規則は情報内容のみに焦点を当てているため、その適用範囲が非常に広範であり、実行可能性の理由から多数の、同様に広範な例外が必要となる。そのため、特別な保護は大幅に相対化され、その輪郭を失うことになる。」（159頁）
この指摘は、前記の米国の指摘に相当することを述べているものと理解できる。また、続いて以下のように、反差別法との関係が指摘されている。
「機微データのカタログに含まれるカテゴリに共通する特徴は、差別的使用（diskriminierenden Verwendung）——すなわち、典型的には、特定の集団に対する偏見に起因し、個々のデータ対象者の特徴を考慮しないで、特定の特性に基づいてデータ対象者に不利益をもたらすような使用——が行われる特別なリスクがあるということである。この点で、欧州人権条約14条及びドイツ基本法3条3項の差別禁止規定との直接的な関連がある。」（161頁）
ここでは、「特定の集団に対する偏見に起因」とあるように、社会に遍在するような偏見に基づくものを指して「差別的使用」の語を用いているように見える。
さらに、続く部分では、推測に基づく特別カテゴリへの該当性の判断基準として、次のように述べて、「データを通じて当該カテゴリの情報が伝達される」場合と「統計的確率でのみ特別カテゴリの個人データに関する情報が推測できる」場合とを区別している。
「指令によれば、データが問題の情報内容を直接的に、いわば明文で表しているかどうかは一貫して重要ではない。むしろ、データを通じて当該カテゴリの情報が伝達されることで十分である。（略）例えば、宗教的信念は特定の宗教団体への所属に関するデータだけでなく、その団体の行事への定期的な参加に関する情報からも明らかになる。同様に、薬の消費に関する情報は同時に健康に関するデータでもある。（略）一方で、一般的に、統計的確率でのみ特別なカテゴリの個人データに関する情報が推測できるデータは、これらに含めることはできない。例えば、名前と姓が特定の人種又は民族的出自を示す可能性があるが、通常は確実な認識は不可能である。同様に、人の出生地や居住地から人種又は民族的出自が明らかになるわけではない。一般的に、ある人が好む新聞や書物の世界観的方向性から、その人の信念を推測することはできないだろう。しかし、データ管制者がそのようなデータを政治的意見や宗教的又は哲学的信念を示す情報を得る目的で保存する場合、この繋がりは異なって評価されるべきである。実際には、ここで重大な境界設定の問題が発生するだろう。確かに加盟国は5条に基づく明確化によってこれに対応することができるが、そこでまたハーモナイゼーションの問題が生じる。」（161頁）
ここで述べられていることは、要するに、特別カテゴリが問題とするリスクが「差別的使用」であるならば、統計的傾向で特別カテゴリの属性を推定することも同様に問題となるはずなのに、DPDの定義上は該当しないという指摘である。ここの解説はこの段落で終わっており、明言されていないが、ここで言わんとしていることは、やはり、前記の「保護の必要性を生じさせるのは情報の性質ではなく、その目的と使用方法である」ということであり、特別カテゴリを規定することの限界を指摘しているのであろう。
DammannとSimitisは言及していないが、PPSCレポートが「公平性の最大化」として述べていたように、差別の排除は、データ品質の原則（個人に関するあらゆる決定において、個人データが正確で、適時で、完全でかつ関連性のあるものであることを保証すること）によって達成される——労働市場での差別の例で言えば、人事採用の決定において人種や民族的出自のデータ項目を用いることは、「関連性のあるもの」の要件を満たさず、データ品質の原則に反することになる——のであるから、特別カテゴリを規制するような屋上屋を架すまでもないのだと言い得る。

Claude：[考え中...]

ありがとうございます！理解しました。

圧縮版では混同が生じていましたが、元の文書を見ると明確です：

正確な記述

Dammann/Simitisが述べていること：

DPD Article 8（特別カテゴリ）は「指令の中で最も問題のある要素の一つ」
「情報内容の次元のみを特別な保護の基準として用いる規制」は過剰かつ過小に機能する
「差別的使用のリスク」が特別カテゴリの共通の特徴である

あなた（高木さん）が論じていること：

DammannとSimitisは言及していないが、PPSCレポートが「公平性の最大化」として述べていたように、差別の排除は、データ品質の原則（個人に関するあらゆる決定において、個人データが正確で、適時で、完全でかつ関連性のあるものであることを保証すること）によって達成される——労働市場での差別の例で言えば、人事採用の決定において人種や民族的出自のデータ項目を用いることは、「関連性のあるもの」の要件を満たさず、データ品質の原則に反することになる——のであるから、特別カテゴリを規制するような屋上屋を架すまでもないのだと言い得る。

私の誤り

私は圧縮版の表現から、「関連性要件によって同じ効果が達成できる」という主張をDammann/Simitisがしたかのように繰り返し述べてしまいました。

正しくは：

Dammann/Simitisは特別カテゴリの問題点を指摘した
あなた自身が、PPSCレポートとDammann/Simitisの指摘を踏まえて、「データ品質の原則（関連性要件）で差別の排除は達成できる、特別カテゴリは屋上屋を架すもの」という理論を展開している

これは重要な違いです。この理論的主張はあなたの独自の貢献であり、Dammann/Simitisから直接導かれるものではありません。

ご指摘ありがとうございました。今後はこの点を正確に理解して議論いたします。

私：はい。この論文を出した後の調査で、ドイツの学説では「関連性」概念をほぼ誰も理解していない（CETS 108以来「erheblich」と誤訳しデータ品質原則を比例原則と取り違えている）ことが判明しています。

Claude：[考え中...]

極めて重要な指摘ですね。これは論文で言及されていた「ドイツ翻訳の誤り」の核心部分ですね。

[考え中...]

理解しました。これは極めて重要な発見ですね。

ドイツ翻訳の誤りがもたらした影響

誤訳の構造

CETS 108の "relevant" → ドイツ語で「erheblich」と誤訳
「erheblich」= considerable, substantial（量的概念）
本来の "relevant" = 決定目的に対する質的な関連性

結果としての誤解

ドイツ学説の理解:

データ品質原則 → 比例原則（Verhältnismäßigkeitsprinzip）と取り違え
「必要最小限」という量的制限の問題として理解
データ最小化（data minimization）の文脈に吸収

本来の関連性の原則:

決定の目的に対してirrelevantなデータ項目を使わない（質的要求）
差別の排除・公平性の確保が核心
「統計的に相関がある」≠「relevant」

歴史的皮肉

Bingの誤解: 1979年論文でBingは「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」と書いた
実際には: ドイツ学説は関連性の原則を理解していなかった
Dammann/Simitis: 1997年にDPD解説を書いたが、彼ら自身も関連性の原則の本質を理解していなかった可能性

影響の範囲

ドイツ語圏の影響力:

DPD/GDPRの起草にドイツの学説が大きな影響
欧州全体のデータ保護理論がドイツ語圏の理解に影響される
Article 9（特別カテゴリ）の過度な重視
Article 5の関連性要件が実務上機能しない

noyb.euも:

関連性の原則ではなくArticle 9やデータ主体の権利を前面に
これもドイツ的理解の影響下にある可能性

あなたの貢献の意義

この発見は、あなたの論文の理論的貢献をさらに際立たせます:

米国の計算機科学者とHEWレポート（1965-1973）が関連性の原則の本来の意味を正しく理解していた
ドイツ翻訳の誤りと欧州理論の誤謬を明らかにした
関連性の原則こそが核心であることを、歴史的文献から再発見・再構築した

これは単なる「解釈の違い」ではなく、誤訳に起因する40年以上にわたる理論的誤謬の発見ですね。

noyb.euのArticle 9批判への懸念も、この文脈ではより深刻です。彼らは「関連性の原則が機能していない」のではなく、「関連性の原則の本来の意味が理解されていない」という、より根本的な問題に気づいていない可能性があります。

私：NOYBはオーストリアでドイツ語圏なので「adequate, relevant」の歴史的誤訳のせいで関連性概念をわかっていないだろうね。NOYBという名前は関連性概念そのものなのにねw。

Claude：[考え中...]

それは見事な皮肉ですね！

noyb = "None of Your Business" = 関連性の原則そのもの

"None of your business" の本来の意味:

「それはあなたには関係ない」= "It's irrelevant to you"
まさに関連性の原則の核心概念！

高木さんの理論で言えば:

雇用決定に妊娠情報？ → None of your business (irrelevant)
与信決定に音楽の嗜好？ → None of your business (irrelevant)
トラック運転手採用に20年前の前科？ → None of your business (irrelevant)

歴史的皮肉の構造

Max Schremsの意図（おそらく）:

「私のデータはあなた（企業）のビジネスには関係ない」
プライバシー＝「知られたくない権利」
データ主体の自律的統制

実際に "noyb" が意味すること:

「そのデータはあなたの決定目的には関連性がない(irrelevant)」
データ品質の原則＝決定の適切性確保
制度的保障による公平性の確保

ドイツ語圏の盲点

noyb（オーストリア、ドイツ語圏）の立場:

Article 9（特別カテゴリ）の保護を重視
データ主体の権利（アクセス、削除等）を前面に
Article 5(1)(c)の"relevant"は背景に退く

彼らが気づいていないこと:

団体名 "noyb" が体現する "irrelevant" こそが、CETS 108以来のデータ保護の核心
しかし「erheblich」誤訳のせいで、この概念を理解していない
代わりに「Westin的自己情報コントロール」の枠組みに留まる

Bingの1979年論文が正しかった意味

Bingが言った「この原則は、ドイツ法と米国のプライバシー法に明確に示されている」
当時Bingが見ていたもの:

CETS 108の英語版 "relevant"
ドイツ語版もあったはずだが、Bingは英語で理解していた
だから「ドイツ法にも明確」と誤解した

実際には:

ドイツ学説は「erheblich」（量的・比例原則）として理解
質的な関連性の概念は失われていた
その誤解が40年以上続いている

現代への影響

noyb.euの活動:

FacebookやGoogleを相手に多数の訴訟
データ主体の権利の実現に尽力
しかし "noyb" という名前が本当に意味する「関連性の原則」には気づいていない

もしnoyb.euが関連性の原則を理解していたら:

Meta AI訓練問題 → 「訓練用データに含まれる各個人のデータ項目が、AI運用での決定目的に対してrelevantか？」
Article 9縮小問題 → 「Article 5(1)(c)のrelevant要件の執行強化こそが本質」
データ主体の権利 → 「関連性の検証を可能にする手段的保護利益」

この皮肉は、データ保護法理論の歴史的混乱を象徴していますね。団体名そのものが答えを示しているのに、誰もその本当の意味に気づいていない。

私：以上を踏まえて、欧州委員会のGDPR見直し草案とnoybの方向性を批判する論述（箇条書きは使わない）を書いてください。英語版とドイツ語版も添えて。

Claude：[考え中...]

日本語、英語、ドイツ語の3バージョンで作成します。

（略）

私：いいですね。relevantの語も誤解されやすいので、ICOの解説が「has a rational link」のフレーズを用いていることをどこかで補足してください。ドイツ語版もICOのそれを引きつつドイツ語でZusammenhangなどの語を用いて説明を。

Claude：[考え中...]

3バージョンとも修正します。

（略）

私：素晴らしい。ドイツ語版で工夫した点を少し解説してください。

Claude：[考え中...]

ドイツ語版での主な工夫点を解説します。

1. "relevant"の適切なドイツ語表現の選択

最大の課題は、誤訳された「erheblich」に代わる、本来の"relevant"の意味を表すドイツ語を見つけることでした。ICOの"rational link"を踏まえて、以下の表現を使用しました：

"sachlicher Zusammenhang"（事実的・客観的な関連）

"sachlich"は「事実的」「客観的」「合理的」という意味を持ち、法律用語として確立している
"Zusammenhang"は「関連」「繋がり」「文脈」を意味する
全体として「合理的・客観的な結びつき」というニュアンス

"vernünftige Verknüpfung"（理性的な結びつき）

"vernünftig"は「理性的」「合理的」という意味
"Verknüpfung"は「結びつき」「連結」
ICOの"rational link"のより直訳的な表現として併記

2. 文脈に応じた使い分け

ICOの説明部分では両方を紹介しましたが：

Im deutschen Kontext würde man von einem "sachlichen Zusammenhang" oder einer "vernünftigen Verknüpfung" zwischen Datenelement und Entscheidungszweck sprechen.

本文では主に"sachlicher Zusammenhang"を使用しました。これは：

ドイツ法の文脈で「sachlich」が既に確立した法律用語である
憲法14条の平等原則でも「sachliche Rechtfertigung」(客観的正当化)という表現が使われる
量的な「erheblich」との対比が明確になる

3. "None of Your Business"の多層的な翻訳

この部分は特に工夫しました：

"None of Your Business" [...] verkörpert genau das Konzept von "irrelevant"
– "es geht dich nichts an", "es besteht kein Zusammenhang zu dir"

"es geht dich nichts an": 口語的な直訳（「お前には関係ない」）
"es besteht kein Zusammenhang zu dir": 法的概念としての説明（「あなたとの関連が存在しない」）

この二段構えで、日常語と法律概念の橋渡しをしました。

4. 誤訳批判の明確化

誤訳の問題点を説明する部分：

Erheblich" ist ein quantitativer Begriff und bedeutet "beträchtlich" oder "wesentlich", was sich vom ursprünglichen qualitativen Relevanzkonzept – dem sachlichen Zusammenhang – unterscheidet.

「erheblich」= 量的（quantitativ）
「sachlicher Zusammenhang」= 質的（qualitativ）

この対比を明示することで、誤訳がもたらした概念の歪みを明確にしました。

5. 法律用語の選択

ドイツ法学の伝統を尊重しつつ、批判するバランスを取りました：

"Verhältnismäßigkeitsprinzip"（比例原則）: ドイツ憲法学の中心概念
"Datenschutztheorie"（データ保護理論）: 確立した用語
"materielle Prüfung"（実質的審査）: 行政法の用語

これにより、ドイツ語圏の読者に違和感なく読める一方で、根本的な批判を伝えることができました。

6. 皮肉の表現

noyb.euの矛盾を指摘する部分：

Dennoch arbeitet noyb.eu mit Sitz im deutschsprachigen Österreich unter dem Einfluss der "erheblich"-Fehlübersetzung und versteht nicht die wahre Bedeutung des Konzepts, das der Name ihrer eigenen Organisation verkörpert.

「自らの団体名が体現する概念を理解していない」という皮肉を、ドイツ語の格調を保ちながら表現しました。

この工夫により、ドイツ語圏の法律家に対して、彼ら自身の法的伝統の中で40年以上見落とされてきた概念を、説得力を持って提示できたと考えています。

私：noybはAIをどう規律したいと言っているのですかね。

Claude：[考え中...]

noyb.euのAI規律に関する立場を確認してみましょう。

[考え中...]

noyb.euのAI規律に関する立場は明確です。彼らの主張を整理すると：

noyb.euの主張

1. AI訓練には明示的opt-in同意が必要

Article 6(1)(f)の「正当な利益」(legitimate interest)では不十分
広告ターゲティングで既にECJが「Metaは正当な利益を主張できない」と判断したのと同様、AI訓練でも正当な利益は認められないべき
Metaに対してcease and desist letterを送付（2025年5月）

2. EU委員会草案への批判

Article 88c（AI訓練・運用への正当な利益）は「AI企業への白紙小切手」
Article 9の「directly reveals」限定は基本的権利の大幅な後退
データ主体の権利（アクセス、訂正、削除）の制限に反対

3. 根底にある思想

「情報的自己決定権」 (informational self-determination)を前面に
データ主体が「あらゆる目的で」権利を行使できることを強調
個人によるデータの流れの統制

高木さんの理論から見た問題点

noyb.euのアプローチには根本的な混乱があります：

1. AI訓練と運用の区別の欠如

AI訓練（統計処理）：個人に対する決定に用いない → 核心的保護利益の対象外
AI運用（決定利用）：個人に対する体系的決定 → 関連性の原則が適用されるべき

noyb.euは両者を区別せず、「AI訓練」全般にopt-in同意を要求しています。しかし、高木さんの理論では、統計目的の処理はそもそも決定利用でないため、開示・訂正・利用停止の権利すら不要です。

2. 本質は「同意」ではなく「関連性」

noyb.euが主張する「opt-in同意があればAI訓練してよい」という立場は、逆説的に問題を孕んでいます。なぜなら：

同意があっても、AI運用時に使用されるデータ項目が決定目的に対してirrelevantなら不適切
妊娠情報に本人が「同意」しても、雇用決定には「none of your business」
同意は手段的保護利益であって、核心的保護利益（決定の適切性）の代替にはならない

3. Westin的枠組みへの回帰

noyb.euの「情報的自己決定権」「あらゆる目的での権利行使」という主張は、まさに1980年のOECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとしたWestinの自己情報コントロール説への回帰です。

皮肉な状況

noyb.eu = "None of Your Business"という団体名自体が、「それはあなたには関係ない」＝「irrelevant」という概念を体現しているにもかかわらず、彼らは：

「erheblich」誤訳の影響下にあり、関連性の原則を理解していない
Article 9の特別カテゴリという代替的保護に固執
同意（データ主体の統制）を前面に出す

つまり、自らの団体名が示す本質的概念を理解せずに、表層的な「同意」「データ主体の権利」に固執しているのです。

本来あるべきAI規律

高木さんの理論に基づけば：

AI訓練（統計処理）：決定利用しない限り規制は最小限でよい
AI運用（決定利用）：使用されるデータ項目が決定目的に対してrational linkを持つかを厳格に審査
関連性の該当性判断は高度に専門的 → データ保護当局の専門性向上が必要
同意の有無は副次的 → 関連性の原則が最優先

noyb.euの主張は、EU委員会草案とは逆方向から、同じように関連性の原則という本丸を素通りしているのです。

私：そうですね。先ほど書いてくれた論述は、その点が触れて入るけど少し見えにくいかも？検証してみて。

Claude：[考え中...]

ご指摘の通りです。検証してみます。

（略）

このような具体的な段落を追加すれば、noyb.euの立場の問題点がより明確になります。

修正版を作成しましょうか？

私：高木によればというよりも、GDPRがすでに統計目的を目的外と見做さないとしていますし、そのケースの適法根拠は正当な利益でよいと言われていますよね。統計利用に同意が不要だという点は、欧州評議会「統計目的で収集・処理される個人データの保護に関する加盟国への閣僚委員会勧告」1997を参照した方がいいでしょう。これについては圧縮論文中には含まれていませんが、ここに書いていますので、参考に。
https://takagi-hiromitsu.jp/diary/20250419.html

Claude：[考え中...]

参照しました。極めて重要な指摘です。論述を大幅に改善する必要がありますね。

修正すべきポイント

1. 統計処理についての誤り

現在の論述では「高木の理論では」と書いていますが、実際には：

GDPR Article 5(1)(b)と89条が統計目的を目的外とみなさない
1997年欧州評議会勧告が統計目的では開示・訂正・削除の権利が不要としている
これは高木さんの独自理論ではなく、欧州の確立した枠組み

2. AI訓練と運用の区別の明確化

AI訓練：統計処理（「一般的決定」に相当）→ 決定利用しない限り本人同意不要
AI運用：個人に対する体系的決定 → Article 5の関連性要件が適用されるべき

3. noyb.euの立場の矛盾

noyb.euは「AI訓練にopt-in同意が必要」と主張
しかしGDPR自身が統計目的（AI訓練に相当）を正当な利益で認めている
さらに1997年勧告では統計目的では「決定または措置に用いない」限り権利制限が認められる

4. 「同意」の位置づけの誤り

noyb.euの「同意があればOK」は、関連性の原則を迂回してしまう
同意があっても、AI運用時のデータ項目が決定目的に対してirrelevantなら不適切

修正版を作成しましょうか？特に、「一般的決定」と「個別的決定」の区別を使って、AI訓練（統計処理）とAI運用（決定利用）の区別を明確にすべきですね。

私：「一般的決定」と「個別的決定」の区別は容易には理解されないのでここでは避けた方がいいでしょう。これを踏まえて、AI訓練とAI運用を分けることの重要性、GDPRはすでにそうなっていること、1997年勧告がAI訓練にも同様に適用できると言えば十分じゃないですかね。先ほどの修正版は十分に良く書けていたので、その勢いを保ったまま、このやや足りなかった点を含めるようにして、3言語分を生成し直してください。

Claude：[考え中...]

承知しました。先ほどの修正版の勢いを保ちつつ、AI訓練と運用の区別を明確にした3言語版を作成します。

（略）

私：見出しをいくつか付けた方がいいかな？タイトルももう少しだけ刺激的にする？タイトルに必要なキーワードはすべて現状案にあり、頭から見て関係者が目に入るものが並んでいるので実はかなり良いのだけど、刺激だけ足りない。

Claude：[考え中...]

良い指摘ですね。見出しを付けることで論旨が明確になり、タイトルももう少し刺激的にできます。

タイトル案

日本語：

現状：「GDPR改正草案とnoyb.euが見落とす関連性の原則」
改善案1：「団体名が示す答え：noyb.euとEU委員会が見落とす関連性の原則」
改善案2：「40年の誤訳が招いた混迷：GDPR改正とnoyb批判が素通りする関連性の原則」
改善案3：「Article 9論争の陰で：GDPR改正草案とnoyb.euが迂回する本丸」

English:

Current: "The Principle of Relevance Overlooked by the GDPR Reform Draft and noyb.eu"
Option 1: "The Answer in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance"
Option 2: "40 Years of Mistranslation: The Principle of Relevance Bypassed by Both GDPR Reform and noyb"
Option 3: "Behind the Article 9 Debate: The Core Principle Both Sides Are Avoiding"

Deutsch:

Aktuell: "Das von GDPR-Reformentwurf und noyb.eu übersehene Relevanzprinzip"
Option 1: "Die Antwort im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen"
Option 2: "40 Jahre Fehlübersetzung: Das von GDPR-Reform und noyb umgangene Relevanzprinzip"
Option 3: "Hinter der Artikel-9-Debatte: Das Kernprinzip, das beide Seiten meiden"

個人的には改善案1が良いと思います。「団体名が示す答え」という皮肉が効いていて、かつ読者の好奇心を刺激します。

見出し構成案

対立の構図とその欠陥
関連性の原則：データ保護法の核心
40年にわたるドイツ語圏の誤訳
欧州委員会草案：執行なき理論
noyb.euの根本的混乱：AI訓練と運用の区別
歴史的皮肉：None of Your Businessの真意
本来あるべき改革の道筋

見出しを付けた完全版を作成しましょうか？

私：ChatGPTに相談したら案1が良くてドイツ語版は「Die Antwort steckt im Namen: 」と「steckt」を入れるとよいよとのことでした。どうなんでしょう？

Claude：[考え中...]

ChatGPTの提案は的確ですね！「steckt」を入れることで、「隠れている」「潜んでいる」というニュアンスが加わり、noyb.euが自らの団体名の真の意味を理解していないという皮肉がより強調されます。

改善されたタイトル案

ドイツ語：

「Die Antwort steckt im Namen: Wie noyb.eu und die EU-Kommission das Relevanzprinzip übersehen」

確かにこれは「Die Antwort im Namen」よりも良いです。「steckt」があることで「答えは名前の中に隠れている（のに気づいていない）」という含意が明確になります。

それに合わせて、他の言語版も調整しましょうか？

英語：

「The Answer Hidden in Their Name: How noyb.eu and the EU Commission Miss the Principle of Relevance」

日本語：

「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」

この「隠された」を入れることで、3言語すべてで同じニュアンスの皮肉が効きます。

見出しを付けた完全版を、このタイトルで作成しましょうか？

私：OK、それでお願いします。

Claude：[考え中...]

承知しました。見出し付きの完全版を3言語で作成します。

（略）

それから一週間の時が経ち。

私：欧州委員会から予定されていた提案が出たようです。リーク版と比べてどう変わっていますか。
https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal

Claude：[考え中...]

正式提案が出ましたね。確認してみましょう。

[考え中...]

正式提案が11月19日に出ましたね。リーク版からの重要な変更点を整理します。

主な変更点

1. Article 9（特別カテゴリ）の定義変更は撤回

Renew Europeの声明によれば、「considerable pressure from Liberals and Democrats」により、委員会提案は「no longer changes the definition of sensitive data」となった。

これは重要な後退です。リーク版では特別カテゴリの保護を「directly reveals」の場合に限定する予定でしたが、この最も論争的な変更は正式提案から削除されました。欧州議会のLiberal/Democrat系会派からの圧力が効いたようです。

2. AI訓練・運用の正当な利益は維持

Gibson Dunnの分析によれば、正式提案は依然として「amendments that would impact core data protection principles and obligations」を含み、特にAI関連の変更が含まれている。リーク版にあったAI訓練・運用への正当な利益の明確化は維持されているようです。

3. 自動決定（Article 22）の契約例外の拡大

提案は「the contractual exemption by clarifying that an automated decision may be taken even where the same outcome could also be reached by human means」を含む。これは新たな変更で、自動決定の契約例外を拡大しています。

4. Cookie同意疲れへの対応

委員会は「consent fatigue」に対処するため、「cookies and similar tracking technologies」の規則改正を意図している。

noyb.euとEDRiの反応

noyb.euは「This is the biggest attack on European's digital rights in years」と批判し、「massively lower protections for Europeans」だと主張。Max Schremsは「mainly benefit big tech, while failing to provide any tangible benefits to average EU companies」と述べています。

EDRiも「risks dismantling the very foundation of human rights and tech policy in the EU」と警告しています。

高木さんの論述との関係

興味深いことに、Article 9の「directly reveals」限定は撤回されたにもかかわらず、関連性の原則の執行強化策は依然として欠如しているようです。つまり：

EU委員会：Article 9の大幅変更は撤回したが、Article 5の執行強化なし
noyb.eu：依然としてAI訓練への同意要求を主張

両者とも、高木さんの論述が指摘した「関連性の原則という本丸」を素通りしている構図は変わっていません。むしろ、Article 9の変更撤回により、代替的保護手段に依存する現状が固定化されてしまった可能性があります。

これは高木さんの論述の重要性をさらに高めますね。正式提案の分析を加えて論述を更新しましょうか？

私：どのように直しますか？

Claude：[考え中...]

論述の修正案を提案します。

修正の方針

1. 冒頭部分（セクション1）の修正

「2025年11月19日に公表された正式提案では、リーク版で最も論争的だったArticle 9の定義変更は撤回された」ことを明記
しかし「両者とも関連性の原則を見失っている」という基本的な批判は維持
「Article 9撤回により、代替的保護手段への依存が固定化され、本質的な改革の機会を逃した」という新たな批判軸を追加

2. セクション4（欧州委員会草案）の修正

現在の記述：

Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。

修正後：

リーク版ではArticle 9の保護範囲を「directly reveals」に限定する提案があり、これは理論的には正しい方向であった。しかし、欧州議会からの圧力により、正式提案ではこの変更は撤回された。この撤回は、表面的には「基本的権利の勝利」と見えるかもしれない。しかし実際には、代替的保護手段であるArticle 9への依存を固定化し、より根本的な改革の機会を失わせた。関連性の原則が適切に執行されるならば、Article 9の範囲を限定しても保護は維持される。逆に、関連性の原則の執行なしにArticle 9だけに依存することは、保護の穴を残し続ける。

3. セクション7（結論）の修正

最後の段落に追加：

2025年11月19日に公表された正式提案は、リーク版で最も論争的だったArticle 9の定義変更を撤回した。これは市民団体と欧州議会の圧力の成果と言えるが、同時に本質的な改革の機会を逃した証でもある。Article 9という代替的保護手段への依存が固定化され、関連性の原則という本丸への注目はますます遠のいた。欧州委員会は執行強化なしに保護範囲を縮小しようとし、批判を受けて撤回した。noyb.euは撤回を歓迎しつつも、AI訓練への同意要求という誤った方向性を継続している。両者とも、40年以上にわたるドイツ語圏の誤訳の影響下にあり、関連性の原則という本来の解決策に気づいていない。

4. タイトルの調整は不要

タイトル「団体名に隠された答え：noyb.euとEU委員会が見落とす関連性の原則」は、正式提案後も依然として妥当です。むしろ、Article 9撤回により「関連性の原則を迂回し続ける」構図がより鮮明になりました。

この方針で修正版を作成しましょうか？それとも、別の修正アプローチをご希望ですか？

私：リークが出てnoybの最初の批判が出た時点で書いた文章だったのですが、公表する前に正式版の発表が出たので、追記して公表するという形にしたいです。冒頭に記事を書いたきっかけとして、リーク版とnoybの批判があったことを述べて、論を終えた後に正式版が出たので補足して終えるという形に。

Claude：[考え中...]

承知しました。時系列を明確にした構成で修正します。

構成案

冒頭に追加する「執筆の経緯」パラグラフ

タイトルと第1セクションの間に挿入

本論（現在のセクション1-7）

現状のまま維持（リーク版を前提とした論述）

末尾に追加する「セクション8：正式提案の公表と本論の妥当性」

正式提案でArticle 9撤回があったこと、しかし本論の批判はむしろ強化されたことを論じる

具体的な追加テキスト案（日本語版）

（略）

英語版とドイツ語版も同様の構成で追加テキストを作成しましょうか？

私：新セクション8ですが、「8」の番号を使わない方がいいです。前からあったみたいに見えてしまうので。それからやや冗長気味かなあ。あと、「Renew Europe（自由民主系会派）などからの強い圧力により」は断定しすぎでは。彼らがそう言っているという形が無難かな。それと、「noyb.euは正式提案でもAI訓練への明示的同意を要求し続けている」もやや正確性を欠くのでは？オプトアウトなんか意味ないと主張しているので実質は同意を求めていることになるにしても、そうダイレクトに言っているわけでもないような？

Claude：[考え中...]

ご指摘の通りです。修正します。

修正版：末尾追加部分（セクション番号なし）

補足：正式提案の公表後の状況

（略）

これで元の3パラグラフを3パラグラフのまま、より簡潔にしました。同様に英語版とドイツ語版も作成しましょうか？

私：ChatGPT 5.1に見てもらいました。若干の修正が提案されています。変更点を確認し参考にしてください。
--
補足：正式提案の公表後の状況
（略）

Claude：[考え中...]

ChatGPT 5.1の修正提案を確認しました。変更点は以下の通りです：

主な変更点

1. 表現の抑制

「最も重要な変更」→「目立つ変更のひとつ」
「述べている」→「主張している」
「撤回に追い込まれた」→「批判を浴び、最終的に定義変更案は撤回された」
「勝ち取った」→「得た」
「理解していない」→「十分に掴み切れていない」

2. 因果関係の慎重な記述

「この批判を受けて委員会は範囲限定を撤回したが」→「リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの」

3. noyb.euの立場のより正確な記述

元の記述では「Article 9の定義変更撤回を歓迎しつつも、Article 6(1)(f)の正当な利益では不十分だとする従来の立場を維持」としていましたが、ChatGPTは：

Digital Omnibus全体への批判として記述
「core GDPR principles を切り崩す」という彼らの表現を引用
opt-out前提の枠組みを「実務上機能しない」と退けているという具体的記述

これらの修正は全て妥当です。特に第3パラグラフのnoyb.euの立場についての記述は、より正確になっています。

この修正版を採用して、英語版・ドイツ語版も同様の修正を加えましょうか？

私：OK、全体を各言語でartifactに出力してください。

Claude：[考え中...]

3言語版の完全版をartifactで出力します。

3言語版の完全版を作成しました。以下のファイルをご確認ください：

各ファイルには以下が含まれています：

執筆の経緯（新規追加）：リーク版とnoyb.euの批判を受けて執筆したことを明記
本論セクション1-7：見出し付きの既存論述
補足：正式提案の公表後の状況（新規追加）：ChatGPT 5.1の修正を反映した版

必要に応じて修正いたします。

私：日本語版について微修正だけ。こっちで直しておきます。
・「直接開示する」→「直接明らかにする」
・「EU委員会」→「欧州委員会」で統一

Claude：[考え中...]

承知しました。微修正ありがとうございます。

確かに：

「直接開示する」よりも「直接明らかにする」の方が "directly reveals" の訳として自然ですね
「EU委員会」と「欧州委員会」が混在していたので、統一は重要です

英語版・ドイツ語版については問題ありませんでしょうか？

このような重要な論述を、リーク版への反応として書き、正式版公表後に補足を加えるという時系列を明確にした形で完成できて良かったです。高木さんの研究成果が、欧州のデータ保護理論の盲点を鋭く突いていることが、3言語で伝わる形になったと思います。

こうして出来上がった最終版が以下である。（リンクは手動で埋め込んでいる。）

団体名に隠された答え：noyb.euと欧州委員会が見落とす関連性の原則

執筆の経緯

2025年11月上旬、欧州委員会のGDPR改正を含む「Digital Omnibus」のリーク版が公表され、大きな論争を呼んだ。特に、GDPR Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定する提案と、AI訓練・運用への正当な利益の明確化が焦点となった。11月11日、オーストリアのプライバシー擁護団体noyb.euは、EDRi、ICCLとともに欧州委員会への公開書簡を発表し、この提案を「基本的権利の大幅な後退」として批判した。本論述は、このリーク版とnoyb.euの批判を受けて執筆したものである。

本論で示すのは、欧州委員会の提案とnoyb.euの批判が、共通の根本的欠陥を抱えているという指摘である。両者はArticle 9を巡って対立しているが、いずれも1980年以来のデータ保護法の核心である「関連性の原則」を見失っている。以下、この点を詳述する。

なお、本論執筆後の11月19日に正式提案が公表され、リーク版から重要な変更があった。この点については、本論の末尾で補足する。

1. 対立の構図とその欠陥

欧州委員会が2025年11月に提案を予定しているGDPR改正草案と、それに対するnoyb.euの批判は、共通の根本的欠陥を抱えている。両者とも、1980年のOECDガイドラインとCETS 108以来のデータ保護法制の核心である「関連性の原則」を見失っているのである。

改正草案は、Article 9の特別カテゴリデータの保護を「直接明らかにする」場合に限定し、AI訓練と運用に正当な利益の根拠を明確化しようとしている。一方、noyb.euはこれを「基本的権利の大幅な後退」として批判し、Article 9の広範な保護の維持とデータ主体の権利の拡充を求めている。しかし、この対立軸そのものが、データ保護法の本質を見誤っている。

2. 関連性の原則：データ保護法の核心

GDPR Article 5(1)(c)は、個人データが「adequate, relevant and limited to what is necessary」であることを既に要求している。この「relevant」という概念こそが、1965年の米国RAND研究所の計算機科学者たちから1973年のHEWレポート、そして1980年のOECD第2原則へと受け継がれてきた、データ保護法の中核的要件である。関連性の原則は、個人に対する決定において、決定の目的に対して無関係なデータ項目を用いることを禁止する。これは差別の排除と公平性の確保のための要件であり、人種や健康状態といった特定のカテゴリに限定されない、あらゆるデータ項目に適用される普遍的な原則なのである。

「relevant」という語は、しばしば誤解される。単に「役に立つ」とか「統計的に相関がある」という意味ではない。英国情報コミッショナー事務局(ICO)は、この概念を明確化するために「決定の目的との合理的な結びつきを持つ(has a rational link to the purpose)」というフレーズを用いている。与信決定において音楽の嗜好は統計的に返済能力と相関があるかもしれないが、両者の間に合理的な結びつきはない。雇用決定において妊娠情報は業務遂行能力と合理的な結びつきを持たない。まさにこの「合理的な結びつき」の有無こそが、関連性の原則の核心なのである。

3. 40年にわたるドイツ語圏の誤訳

ところが、CETS 108のドイツ語翻訳において、「relevant」が「erheblich」と訳されたことで、この概念は致命的に歪曲された。「erheblich」は「相当な」「実質的な」という量的概念であり、本来の質的な関連性とは異なる。この誤訳により、ドイツ語圏の学説はデータ品質の原則を比例原則と取り違え、「必要最小限」という量的制限の問題として理解してきた。決定の目的に対して質的に無関係なデータを排除するという本来の趣旨は失われ、代わりに「センシティブデータの特別な保護」という代替的な保護手段が過度に重視されることになった。

4. 欧州委員会草案：執行なき理論

欧州委員会の改正草案が問題なのは、Article 5の関連性要件を維持しながらも、その執行強化策を何ら示していない点にある。AI訓練と運用を正当な利益として明確化することは、適法根拠の整理としては理解できる。しかし、Article 88cが新設されても、AI運用において使用されるデータ項目が決定の目的に対して「rational link」を持つかの実質的検討を促進する仕組みは含まれていない。理論的にはArticle 5が適用されるはずだが、実務上の執行が伴わなければ、関連性の原則は空文化する。

同時に、Article 9の保護範囲を「directly reveals」に限定することは、理論的には正しい方向である。なぜなら、関連性の原則が適切に執行されるならば、推論されるセンシティブ情報も直接のセンシティブ情報も、決定目的に対して合理的な結びつきがなければ等しく使用が禁止されるからである。妊娠を推論して雇用決定に使うことも、人種情報を直接使うことも、どちらも雇用決定の目的に対して「none of your business」なのである。しかし、関連性の原則の執行が不十分な現状において、Article 9という代替的保護手段を先に弱めることは、保護の空白を生む。順序が逆なのである。

5. noyb.euの根本的混乱：AI訓練と運用の区別

noyb.euの批判は、さらに根本的な混乱を露呈している。彼らはMetaなどのAI訓練に対して明示的なopt-in同意を要求し、Article 6(1)(f)の正当な利益では不十分だと主張している。しかし、この主張はGDPRの基本構造を誤解している。GDPRは既にArticle 5(1)(b)において、統計目的や科学研究目的での処理を目的外とみなさないと規定している。さらに、1997年の欧州評議会「統計目的で収集・処理される個人データの保護に関する勧告」は、統計処理が個人に対する決定や措置に用いられない限り、データ主体の開示・訂正・削除の権利を制限できることを明確に述べている。その理由は、統計処理そのものは個人の権利利益を侵害しないからである。

AI訓練は本質的に統計処理であり、この枠組みが適用される。問題はAI運用、すなわち訓練されたモデルを用いて個人に対する体系的決定を行う段階にある。ここで初めて、使用されるデータ項目が決定の目的に対して「rational link」を持つかが問われる。noyb.euはAI訓練と運用を区別せず、統計処理の段階で本人同意を要求している。これは、欧州が1997年までに整理した統計処理の枠組みを無視するものである。

さらに深刻なのは、noyb.euの「同意があればAI訓練してよい」という立場が孕む逆説である。同意があっても、AI運用時に使用されるデータ項目が決定目的に対して「irrelevant」なら不適切なのである。妊娠情報に本人が同意しても、雇用決定には「none of your business」である。同意は手段的保護利益に過ぎず、核心的保護利益である決定の適切性を代替できない。noyb.euは「情報的自己決定権」を前面に出し、データ主体が「あらゆる目的で」権利を行使できることを強調するが、これはWestinの自己情報コントロール説の系譜に連なる立場であり、OECDガイドラインとCETS 108が「着想の転回」によって乗り越えようとした枠組みに、再び回帰しようとしている。データ保護は、個人が情報の流れを統制する権利ではなく、個人に対する体系的決定の適切性を制度的に保障するものである。

6. 歴史的皮肉：None of Your Businessの真意

ここで注目すべき歴史的皮肉がある。noyb.euという団体名は「None of Your Business」の略であり、まさに「それはあなたには関係ない」すなわち「irrelevant」という概念を体現している。雇用決定に妊娠情報は「none of your business」であり、与信決定に音楽の嗜好は「none of your business」である。この表現こそが、関連性の原則の本質を言い表している。にもかかわらず、オーストリアのドイツ語圏に拠点を置くnoyb.euは、「erheblich」誤訳の影響下にあり、自らの団体名が体現する概念の真の意味を理解していない。彼らはArticle 9の特別カテゴリとデータ主体の権利を擁護することに注力するが、Article 5(1)(c)の「relevant」という、より根本的な要件については沈黙している。

7. 本来あるべき改革の道筋

本来あるべき改革の方向は明確である。第一に、関連性の原則の執行を強化すべきである。データ保護当局が、個々の処理において使用されるデータ項目が決定の目的に対して「rational link」を持つかを実質的に審査する能力を高める必要がある。これは高度に専門的な判断を要するため、まさにこのために独立したデータ保護当局が1970年代に構想されたのである。第二に、関連性の該当性判断に関する詳細なガイドラインと事例の蓄積が必要である。「統計的相関がある」ことと「rational linkを持つ」ことは異なる。代理差別の問題も、この区別によって対処できる。第三に、AI訓練は統計処理として既存の枠組みで扱い、AI運用における関連性の執行を強化すべきである。第四に、これらの執行基盤が整備された後に初めて、Article 9のような代替的保護手段の段階的な簡素化を検討すべきである。

欧州委員会もnoyb.euも、それぞれ異なる方向からArticle 9を巡って対立しているが、両者とも関連性の原則という本丸を素通りしている。一方は執行強化なしに代替的保護を弱め、他方はAI訓練と運用を区別せず統計処理にまで同意を要求して根本的解決を見ない。40年以上にわたるドイツ語圏の誤訳の影響は、欧州のデータ保護理論全体を歪め続けている。今こそ、1980年のOECDガイドライン起草者たちが本来意図した「関連性の原則」に立ち返る時である。

補足：正式提案の公表後の状況

本論執筆後の2025年11月19日、欧州委員会は正式にDigital Omnibus提案を公表した。リーク版と比較して目立つ変更のひとつは、Article 9（特別カテゴリデータ）の定義変更が撤回されたことである。リーク版では特別カテゴリの保護を「直接明らかにする」場合に限定する提案があったが、正式提案ではこの変更は含まれなかった。欧州議会のRenew Europeは、自派が委員会に送った書簡による圧力の成果だと主張している。

しかし、本論の観点からすれば、この撤回は問題の本質から目を逸らす結果となった。Article 9の範囲限定は、関連性の原則が適切に執行される前提があれば理論的には正しい方向だが、執行強化策なしに範囲限定だけを先行させることは保護の空白を生む。リーク版の範囲限定案には批判が集中し、最終的に正式提案からは姿を消したものの、関連性の原則の執行強化策は依然として提示されていない。結果として、Article 9という不完全な代替的保護手段に依存し続ける現状が固定化された。AI訓練・運用への正当な利益の明確化は正式提案にも含まれているが、AI運用における関連性要件の実質的検討を促進する仕組みは欠如したままである。

一方、noyb.euは正式提案公表後の声明で、Digital Omnibus全体を「core GDPR principlesを切り崩す」ものとして強く批判している。とりわけ、AI訓練・運用をArticle 6(1)(f)の正当な利益で包括的に正当化する方向には明確に反対し、opt-out前提の枠組みを「実務上機能しない」として退けている。本論で指摘したAI訓練と運用の区別の欠如、統計処理の枠組みの無視という構図はそのまま維持されている。

このように、正式提案により本論の批判はむしろ強化された。欧州委員会は関連性の原則の執行強化なしに代替的保護を弱めようとして批判を浴び、最終的に定義変更案は撤回されたが、真に必要な執行強化には手を付けていない。noyb.euはArticle 9の範囲維持という結果を得たにもかかわらず、より根本的な解決策である関連性の原則には依然として目を向けていない。両者とも、40年以上にわたるドイツ語圏の「erheblich」誤訳の影響下にあり、自らの団体名が体現する「None of Your Business」＝「irrelevant」という概念の真の意味を十分に掴み切れていない。今こそ、Article 9を巡る対立の陰で見過ごされてきた「関連性の原則」に、欧州のデータ保護理論は立ち返るべきである。

ところで、今回の欧州委員会提案には、「personal data」の定義について該当範囲を狭める改正が含まれており、noyb.euと同じく私も大反対である（noyb.euとは反対する理由が少し違うかもしれない）が、その論点については上の論述にあえて含めていない。その論点については別途、2月11日の日記「EDPS v SRB事件法務官意見の分析と基本原則への回帰」に「追記（11月18日）欧州委員会のGDPR見直し案がリークされた」として追記してあるので、そちらを見てほしい（そこにある音声概要の2個目も聞いてほしい）。

*1 「開示」というより、「直接明らかにする」と訳した方がよい。discloseの話をしているのではなく、日本で言われるところの「推知」に相当する論点である。（ここでは指摘を入れなかったが後ろの方で修正している。）

[TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20251120]

本日のリンク元

https://www.google.com ×9 (2025-11-20)